Versions Compared

Old Version 5

changes.mady.by.user Hijke Maes

Saved on

compared with

New Version Current

changes.mady.by.user Nele Lowet

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Gerelateerde pagina's over dit onderwerp

1.3. Risicobeheer

1.3.1. Risicomethodiek

1.3.2. Risico analyse - Minimale maatregelen

5.5. Minimale maatregelen - proces risicobeheer

5.5.2.1. Minimale maatregelen

Vertrouwelijkheid

IC klasse

Minimale maatregelen

Image ModifiedImage Modified
 Klasse

 Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Analyse van de zakelijke omgeving;

  • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

  • Validatie: maturiteit bepalen van de minimale maatregelen.

Image ModifiedImage Modified

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Risico identificatie met alle stakeholders inclusief CISO;

  • Risicoanalyse met alle stakeholders inclusief CISO;

  • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

  • Formele aanvaarding van het restrisico door topmanagement;

  • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

  • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

  • Communicatie en overleg met alle stakeholders;

  • Opvolgen implementatie risicostrategie;

  • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

Image Modified

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

 

  • Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)

 

 Integriteit

IC klasse

Minimale maatregelen

Image ModifiedImage Modified
 Klasse

 Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Analyse van de zakelijke omgeving;

  • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

  • Validatie: maturiteit bepalen van de minimale maatregelen.

Image ModifiedImage Modified

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Risico identificatie met alle stakeholders inclusief CISO;

  • Risicoanalyse met alle stakeholders inclusief CISO;

  • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

  • Formele aanvaarding van het restrisico door topmanagement;

  • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

  • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

  • Communicatie en overleg met alle stakeholders;

  • Opvolgen implementatie risicostrategie;

  • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

Image Modified

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

 

  • Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)


Beschikbaarheid

IC klasse

Minimale maatregelen

Image ModifiedImage Modified

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Analyse van de zakelijke omgeving;

  • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

  • Validatie: maturiteit bepalen van de minimale maatregelen.

Image ModifiedImage Modified

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Beschikbaarheid proces beheer van risico’s (10ux5dagen); 

  • Risicoanalyse met alle stakeholders inclusief CISO;

  • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

  • Formele aanvaarding van het restrisico door topmanagement;

  • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

  • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

  • Communicatie en overleg met alle stakeholders;

  • Opvolgen implementatie risicostrategie;

  • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

Image Modified

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

 

  • Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)

5.5.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene maatregelen voor risicobeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie 5.5.2.1. Minimale maatregelen). 


Vertrouwelijkheid en integriteit 

IC klasse

Minimale maatregelen

Image ModifiedImage ModifiedImage Modified
Image Removed
Image Added

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Geen maatregelen maar ter herinnering: jaarlijks moet een revaluatie uitgevoerd worden van de informatieklasse en waar nodig bijgestuurd. 

Image ModifiedImage ModifiedImage ModifiedImage ModifiedImage ModifiedImage Modified

Klasse 3,

 Klasse

 Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Risico identificatie met alle stakeholders inclusief CISO en DPO;

  • Risicoanalyse met alle stakeholders inclusief CISO en DPO;

  • Risicobehandeling volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO en DPO;

  • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO en DPO.

 

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

...

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van risicobeheer toegepast worden:  

 Beschikbaarheid, Integriteit en Vertrouwelijkheid

IC klasse

Minimale maatregelen

Image AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage Added

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

  • De organisatie moet bij elk proces en bij elk project een risico-beoordeling rond informatieveiligheid en privacy uitvoeren, valideren, communiceren en onderhouden (Ref. KSZ 5.2.2 a). 

  • Alle risico-beoordelingen met een hoog residueel risico communiceren naar de directie voor bespreking en beslissing : behandelen of aanvaarden (Ref. KSZ 5.2.2 b). 

  • De richtlijn rond risico-beoordeling toepassen zoals vermeld in

...

  • bijlage C van de beleidslijn ‘Risico-beoordeling’ (Ref. KSZ 5.2.2 c):  

    • In de regel beslist de verwerkingsverantwoordelijke vrij over de procedure en methodologie die hij wenst te hanteren bij het inschatten en beheren van risico’s, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit. Zo moet het risicobeheer volgende elementen bevatten: Methodologisch onderbouwd, gestructureerd, op maat, begrijpelijk, voldoende genuanceerd. Met voldoende communicatie, consultatie, beheer en nazicht.  

  • De controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen (Ref. 5.5.1 f).  

  • Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ. 5.8.3 c). 

  • Overeenkomsten met derde partijen alle vereisten omvatten om risico’s van informatieveiligheid en privacy te behandelen die geassocieerd zijn met ICT diensten (Ref. KSZ 5.12.1 d).